标签：malloc chunk free Attack fd Fastbin fake PWN fastbin

libc2.26后加入了tcache机制

fastbin attack

fastbin attack能利用的前提

• 能创建fastbin类型的chunk
• 存在堆溢出，use-after-free(ufa)等能控制chunk内容的漏洞

如果细分的话：

fastbin double free

即利用double free漏洞构造chunk

我们首先申请回chunk1，然后修改其fd值指向一个fake_chunk，这里的chunk要保证size域合法，我们再次申请3次同样的chunk，就会依次拿到chunk2.chunk1.fake_chunk。我们只要在关键位置伪造fake_chunk就可以了。例如在malloc_hook左右伪造fake_chunk，然后修改malloc_hook的值为one_gadget就可以在调用malloc时get_shell

UAF

同fastbin double free利用手法相似，只不过只需free一次，然后修改fd指针指向fake_chunk

House of Spirit

该技术的核心在于在目标位置处伪造fastbin chunk,并将其释放，再申请回来，从而达到分配指定地址的chunk目的

小结

1.伪造合理的chunk
2.使fd指向fake_chunk.或者free fake_chunk,使得fake_chunk加入到fastbin中
3.分配得到fake_chunk，进行后续利用

标签：malloc,chunk,free,Attack,fd,Fastbin,fake,PWN,fastbin
来源： https://www.cnblogs.com/M1sceden4/p/15130937.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。